有传言称 Java 确实存在安全问题。BSI 建议人们在所有类型的操作系统(甚至 Linux)中停用 Java 插件版本 7 及更早版本。这是否意味着我现在应该停用 ubuntu 中的 iced-tea 插件?还是说这个特定版本不受影响?
非常感谢您的回答。我已经在互联网上搜索过这些信息,但由于我对相互依赖性了解不多,所以无法找到您发现的内容。我现在已经禁用了 icedtea 插件。安全总比后悔好……
我们如何警告所有其他 ubuntu 用户?根据 BSI 的说法,该漏洞已经在挪威、德国和荷兰等国家被广泛使用。由于 ubuntu 也受到影响(正如您所总结的那样),因此这似乎非常重要。此外,heise security 写道,该漏洞涉及各种操作系统和浏览器这是java支持的。
顺便说一句,Oracle 终于在 Ver 7 update 7 中修复了这个错误 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html
我如何知道 ubuntu 使用的 icedtea 版本中的问题何时得到修复?
答案1
从这里他们说据报道CVE-2012-4681为了Oracle Java 7 Update 6, and possibly other versions,
似乎已经尚未报告或说明 Ubuntu但可以看到报告Debian 在此处提供软件包 openjdk-6 和 openjdk-7,所以我想它也适用于这里。
如果我猜对了,Ubuntu 有相同版本
因此,请禁用它,以确保更安全。
编辑(2012年9月1日) 就是现在Ubuntu 安全团队已解决此问题,可在此处查看。我猜很快就会提供该软件包的安全更新。
Icetea 网站软件包中包含插件,它似乎没有受到这里的影响。
您可以点击Ubuntu 链接如上所述查看其中的包。所以我想,你可以安全地使用它。
答案2
看起来 IcedTea 插件是安全的(与上面所述的相反),这里我从 RedHat 网站复制(上面也提到过):
Tomas Hoger 2012-08-27 09:09:03 EDT
使用最新的 Oracle 和 IBM Java 7 Web 浏览器插件确认了代码执行。使用 OpenJDK7 的 IcedTea-Web 通过不允许小程序更改 SecurityManager(这在 Oracle 和 IBM Java 插件中是允许的)来阻止此漏洞。
目前尚未发现 Java 6 受到什么影响。
这对我来说很重要,因为我需要一个支持 Java 的浏览器从美国政府赞助的网站蛋白质数据库 (http://www.rcsb.org/pdb/home/home.do) 下载文件,并且 IcedTea 插件可以在那里运行。
答案3
是的,您现在应该禁用它(甚至删除它)。请注意,这里的其他答案已经过时,并假设刚刚发布的“更新 7”补丁(2012 年 8 月 30 日)修复了这些问题。但事实并非如此,它仍然很脆弱。我输入这篇文章的日期是 2012 年 9 月 1 日星期六,Java 7 update 7 包含一个严重错误。摘自链接文章:
研究人员表示,他们发现 Oracle 周四发布的 Java 7 更新中存在一个漏洞,该漏洞允许攻击者完全控制最终用户的计算机。
有关如何在 Firefox 和 Chrome 中禁用浏览器插件的说明如下在这里,在这个类似的问题中。请注意,Javascript 和 Java 是不是一回事。